专利名称:一种安全监控设备的制作方法
技术领域:
本实用新型涉及控制系统领域,特别是涉及一种安全监控设备。
背景技术:
在铁路系统中,车站列控中心是CTCS (China Train Control System,中国列车 控制系统)的核心安全设备,用于根据调度命令、进路状态、线路参数等产生进路及临时限 速等相关控车信息,通过有源应答器及轨道电路传送给列车。其中,列控中心系统平台包 括A系统和B系统两套子系统,构成双机热备系统。在每个子系统下,都包含有MPU (Main Processing Unit,主处理器)、CIU(Communication Interface Unit,通信接 口单元)、 DI0(DiscreteInput Output,离散输入 / 输出)和 PSU (Power Supply Unit,电源单元)。然而,发明人在研究中发现,当系统平台中的各个单元由于各种原因出现故障时, 作为核心安全设备的车站列控中心就有可能产生错误的控车信息,最终无法保障铁路系统 最基本的安全性和可靠性。另一个方面,随着提速、客运专线的建设和改造,对列控中心系 统平台的可靠性、安全性都提出了更高的需求,急需一种更高可靠性和安全性的系统平台, 以适应铁路跨域式发展形式的需求。因此,现在迫切需要解决的技术问题是提供一种安全 监控设备,以满足铁路系统对具有高可靠性和高安全性的列控中心系统平台的需求。
实用新型内容针对上述技术问题,本实用新型的目的在于,提供一种安全监控设备,以提高列控 中心系统平台的安全性和可靠性。本实用新型的实施例提供如下技术方案一种安全监控设备,包括至少两个电源电压检测模块VSM、一个完整性检查模块 ISM、至少两个安全检验模块SSM、一个动态安全与门驱动模块动态安全与门驱动模块、一个 通道切换模块CSM、一个同步时钟信号发生器SCM和至少两个状态寄存器SR,其中,所述至 少两个VSM,用于分别检测电源单元PSU输出的电压是否超过预置的范围,并将检测结果写 入各自对应的一个SR中;所述ISM,用于检测主处理器MPU、通信接口单元CIU和离散输入/ 输出DIO是否在线,并将检测结果分别写入所述至少两个SR中;所述至少两个SSM,用于分 别检测MPU和CIU输出的动态安全状态信号以及所述SCM输出的同步时钟信号是否正确, 将检测结果写入各自对应的一个SR中,并根据从所述SR读取的检测结果决定是否输出动 态安全与门驱动模块的驱动时钟和CSM的通道维持信号;所述动态安全与门驱动模块,用 于当从所述至少两个SSM接收的驱动时钟相同时,输出驱动主控继电器的电源,否则,不输 出驱动主控继电器的电源;所述CSM,用于当从所述至少两个SSM接收的通道维持信号相同 时,输出维持CIU中的CAN总线连通的信号,否则,输出切换CIU中的CAN总线连通的信号。优选的,所述ISM包括电阻、直流电源和电压采集单元,其中,所述电阻与所述 MPU、CIU和DIO串联,构成串联电路,所述直流电源为所述串联电路提供电源,所述电压采 集单元采集所述电阻两端的电压,当电压为零时,输出的检测结果为不在线,否则,输出的检测结果为在线。优选的,所述SSM包括动态安全状态信号检测单元、同步时钟信号检测单元和第 一决策单元,其中,所述动态安全状态信号检测单元检测MPU和CIU输出的动态安全状态信 号的周期是否正确,并输出检测结果;所述同步时钟信号检测单元检测所述SCM输出的同 步时钟信号的周期和相位差是否正确,并输出检测结果;所述第一决策单元从所述SR中读 取VSM的检测结果、ISM的检测结果、动态安全状态信号检测单元的检测结果和同步时钟信 号检测单元的检测结果,当上述检测结果全都正常时,输出所述动态安全与门驱动模块的 驱动时钟和CSM的通道维持信号,否则,不输出所述动态安全与门驱动模块的驱动时钟和 CSM的通道维持信号。优选的,所述安全监控设备还包括至少两个命令寄存器CR,所述SSM还包括第二 决策单元,所述第二决策单元根据从所述CR中读取的MPU控制命令决定是否输出动态安全 与门驱动模块的驱动时钟维持信号和CSM的通道维持信号。优选的,所述SSM还包括动态安全与门检测单元,用于接收所述动态安全与门驱 动模块反馈的状态回检信号,并将所述状态回检信号写入所述SSM各自对应的一个SR中。优选的,所述安全监控设备还包括至少两个ISA总线接口,所述ISA总线接口的 一端与所述SR连接,另一端与ISA总线连接。优选的,所述安全监控设备还包括至少两个ISA总线接口,所述ISA总线接口的 一端与所述SR和所述CR连接,另一端与ISA总线连接。优选的,所述安全监控设备还包括状态显示驱动模块,用于将所述至少两个SR 中由相同模块输出的检测结果做与运算,并将运算结果分别驱动输出给相应的LED指示 灯。由上述本实用新型的实施例可以看出,本实用新型中的安全监控设备可以实现对 列控中心系统平台中的MPU、CIU、DI0和PSU的各种状态进行检测,保障列控中心不会产生 错误的控车信息,提高了列控中心系统平台的安全性和可靠性。同时,由于本实用新型中的 安全监控设备本身采用取二的冗余结构,使得安全监控设备也同样具有安全性和可靠性, 当用高安全性和可靠性的安全监控设备对列控总线系统平台进行检测时,更进一步保障了 列控中心系统平台的安全性和可靠性,产生了“双层”的安全性和可靠性保护效果。另一方 面,本实用新型的安全监控设备全部由硬件实现,也提高了检测的稳定性。
图1为本实用新型中一种安全监控设备的结构示意图;图2为安全监控设备中电源电压检测模块的结构示意图;图3为安全监控设备中完整性检查模块的原理示意图;图4为安全监控设备中安全检测模块的结构示意图;图5为安全监控设备中动态安全与门驱动模块的结构示意图;图6为安全监控设备中通道切换模块的原理示意图;图7为安全监控设备中同步时钟信号发生器的结构示意图;图8为安全监控设备中状态寄存器和命令寄存器的结构示意图。
具体实施方式
以下结合附图对本实用新型的内容进行详细描述,本部分的描述仅是示范性和解 释性,不应对本实用新型的保护范围有任何限制作用。本实用新型提供了一种安全监控设备,用于对列控中心系统平台中的MPU、CIU、 DIO和PSU的各种状态进行检测,以保障列控中心系统平台的安全性和可靠性。同时,安全 监控设备作为系统平台中各个功能单元的检测设备,其检测结果的正确性也需要被保障, 以防止出现误监控的现象出现。因此,为了保证安全监控设备本身的安全性和可靠性,本 实用新型提供的安全监控设备采用了取二的安全冗余结构。其中,可以是二取二的安全冗 余结构,也可以是三取二的冗余结构,甚至是更高层次的冗余结构,具体可以由列控中心系 统平台的安全级别和可靠级别决定,在对安全性和可靠性有更高要求的列控中心系统平台 中,可以采用更高层次的冗余结构。本实用新型对安全监控设备中所采用的冗余结构的层 次并不限定,可以根据具体的安全性和可靠性需求或者结合对设备的成本和尺寸要求而采 用适合层次的冗余结构。其中,本实用新型的优选方案是采用二取二的冗余结构。请参阅图1,其为本实用新型中一种安全监控设备的结构示意图,在本实施例 中,采用了二取二的冗余结构,包括两个VSM(Voltage SuperviseModule,电源电压检测 模块)、一个 ISMdntegrality Supervise Module,完整性检查模块)、两个 SSM(Safte Supervise Module,安全检验模块)、一个动态安全与门驱动模块、一个CSM (Chunne 1 Supervise Module,通道切换模块)、一个 SCM(Synchronization Clock Module,同步时钟 信号发生器)和两个SR(Station Register,状态寄存器)。其中,所述两个VSM,用于分别检测PSU输出的电压是否超过预置的范围,并将检测结果 写入各自对应的一个SR中;所述ISM,用于检测MPU、CIU和DIO是否在线,并将检测结果分别写入所述两个SR 中;所述两个SSM,用于分别检测MPU和CIU输出的动态安全状态信号以及所述SCM输 出的同步时钟信号是否正确,将检测结果写入各自对应的一个SR中,并根据从所述SR读取 的检测结果决定是否输出动态安全与门驱动模块的驱动时钟和CSM的通道切换信号;所述动态安全与门驱动模块,用于当从所述两个SSM接收的驱动时钟相同时,输 出驱动主控继电器的电源,否则,不输出驱动主控继电器的电源;所述CSM,用于当从所述两个SSM所接收到的通道维持信号时,输出维持CIU中的 CAN总线连通的信号,否则,输出切换CIU中的CAN总线连通的信号。下面结合图1和其他附图详细说明安全监控设备中的各个功能模块。请参阅图2,其为安全监控设备中电源电压检测模块的结构示意图,电源电压检测 模块VSM主要用于检测由PSU输出的5V和24V电源电压是否超过预置的范围,并把超过预 置的范围或者未超过预置的范围的检测结果写入状态寄存器SR中。其中,在本实施例中有 两个独立的VSM和两个独立的SR,VSM1将检测结果写入对应的SRl中,VSM2将检测结果写 入对应的SR2中。请参阅图3,其为安全监控设备中完整性检查模块的原理示意图,完整性检查模块 ISM主要用于检测MPU、CIU和DIO是否在线。包括电阻、直流电源和电压采集单元,其中, 电阻与MPU、CIU和DIO串联,构成串联电路,直流电源,如5V的直流电源,为构成的串联电路提供电源,电压采集单元采集串联电路中电阻两端的电压,如果电压为零,说明串联电路 为断路,而MPU、CIU和DIO中至少有一个不在线,这时,输出的检测结果为不在线,如果电压 不为零,说明串联电路为通路,而MPU、CIU和DIO全都在线,这时,输出的检测结果为在线。 最后,检测结果分别被写入SRl中和SR2中。 请参阅图4,其为安全监控设备中安全检测模块的结构示意图,安全检测模块SSM 一方面主要用于检测MPU和CIU输出的动态安全状态信号以及SCM输出的同步时钟信号是 否正确,将信号正常或者不正常的检测结果写入SR中;另一方面,根据从SR读取的检测结 果决定是否输出动态安全与门驱动模块的驱动时钟和CSM的通道维持信号。如图4所示,SSM包括动态安全状态信号检测单元、同步时钟信号检测单元和第 一决策单元,其中,动态安全状态信号检测单元,检测MPU和CIU输出的动态安全状态信号的周期是 否正确,并输出检测结果;例如,图4中的LIFE_CLKl/2/3/4为从MPU和CIU输出的动态安全状态信号,动态 安全状态信号检测单元检测各个状态信号的周期是否正确,输出的检测结果由SSM写入SR 中。同步时钟信号检测单元,检测所述SCM输出的同步时钟信号的周期和相位差是否 正确,并输出检测结果;例如,图4中的SYN_CLKl/2为VSU输出的同步时钟信号,同步时钟信号检测单元 检测各个时钟信号的周期和相位差是否正确,输出的检测结果由SSM写入SR中。第一决策单元,从SR中读取VSM的检测结果、ISM的检测结果、动态安全状态信号 检测单元的检测结果和同步时钟信号检测单元的检测结果,当上述检测结果全都正常时, 输出所述动态安全与门驱动模块的驱动时钟和CSM的通道维持信号,否则,不输出所述动 态安全与门驱动模块的驱动时钟和CSM的通道维持信号。例如,当第一决策单元检测出电压超标、或者MPU、CIU和DIO中任意一个单元不在 线、或者动态安全状态信号产生偏差、或者同步时钟信号产生偏差时,停止输出所述动态安 全与门驱动模块的驱动时钟AQY_CLK和CSM的通道维持信号CHANNEL_SELl/2/3/4,否则,输 出所述动态安全与门驱动模块的驱动时钟和CSM的通道维持信号。其中,在本实施例中有两个独立的SSM,SSMl将检测结果写入对应的SRl中,SSM2 将检测结果写入对应的SR2中。同时,SSMl从对应的SRl中读取检测结果,SSM2从对应的 SR2中读取检测结果。标准时钟源作为高精度的时钟,为上述信号的检测提供标准。进一步的,本实施例中的安全监控设备还包括两个命令寄存器CR,SSM还包括第 二决策单元,所述第二决策单元根据从CR中读取的MPU控制命令决定是否输出动态安全与 门驱动模块的驱动时钟和CSM的通道维持信号。其中,在本实施例中有两个独立的CR,SSMl 从对应的CRl中读取命令,SSM2从对应的CR2中读取命令。再进一步的,SSM还包括动态安全与门检测单元,用于接收动态安全与门驱动模块 反馈的状态回检信号,并将状态回检信号写入SR中。其中,SSMl中的动态安全与门检测单 元将状态回检信号写入SRl中,SSM2中的安全与门检测单元将状态回检信号写入SR2中。请参阅图5,其为安全监控设备中动态安全与门驱动模块的结构示意图,动态安全 与门驱动模块动态安全与门驱动模块主要用于当从两个SSM接收的驱动时钟相同时,输出驱动主控继电器的电源,否则,不输出驱动主控继电器的电源。动态安全与门驱动模块是 最终实现二取二功能的核心模块,主要由与门电路来实现。当从两个SSM所接收的驱动时 钟相同时,说明SSM输出结果为安全和可靠的结果,输出驱动主控继电器的电源;当从两个 SSM所接收的驱动时钟不相同时,说明SSM输出的结果为不安全和不可靠的结果,不输出驱 动主控继电器的电源。如图5所示,RELAY_STATUS为安全与门状态回检信号,分别送到SSMl 和SSM2中,由动态安全与门检测检测后写入SR中。例如,动态安全与门驱动模块接收两路2KHz的动态安全状态信号后,如果两路动态安全状态信号相同,则输出安全的24V电源驱动主控继电器,任何一路动态安全状态信 号的偏差都将使24V输出电源关闭,实现故障导向安全。其中,所述主控继电器可以采用安 全继电器,在双机热备结构的列控中心系统平台中,用于识别主备机,只有主机中的主控继 电器才能吸起,同时它的吸起将导致备机中的主控继电器不能吸起。在主机所在系统中的 DIO对外输出I/O的供电电源为安全电源,其供电回路中串入本系统中主控继电器的上接 点,如果本系统中的主控继电器落下,则将切换DIO中I/O的供电电源,以达到故障导向安 全。请参阅图6,其为安全监控设备中通道切换模块的原理示意图,CSM主要用于当从 两个SSM接收的通道维持信号相同时,输出维持CIU中的CAN总线连通的信号,否则,输出 切换CIU中的CAN总线连通的信号。它同样也是一个与门电路,其接收SSMl和SSM2送来 的CHANNEL_SEL信号,通过与非门后输出使CIU中的CAN总线连通的信号。请参阅图7,其为安全监控设备中同步时钟信号发生器的结构示意图,同步时钟信 号发生器由一个独立的高精度时钟提供时钟源,利用可编程逻辑门阵列(FPGA)分频成不 同频率的时钟信号,同步时钟信号发生器同时也输出生命信号到SSMl和SSM2,由SSMl和 SSM2分别检测同步时钟信号发生器是否工作正常。请参阅图8,其为安全监控设备中状态寄存器和命令寄存器的结构示意图,其中, SR主要保存VSM、ISM和SSM分别检测到的电压状态、完整性状态、动态安全状态信号的状 态、同步时钟周期信号的状态和动态安全与门驱动模块反馈的状态。SR的地址映射到ISA 总线上,可以由MPU读取,同时SR的内容也可以由SSM来读取,用以决定是否要关闭本系的 输出。CR可以由一个16位的字组成,用于接收MPU传送的控制命令,MPU中的处理器通 过ISA总线向CR写入命令位。本实施例中有两个独立的CR,分别对应SSMl和SSM2。进一步的,本实施例中的安全监控设备还包括两个ISA总线接口,所述ISA总线 接口的一端与SR连接,另一端与ISA总线连接。当本实施例中还进一步包括CR时,所述 ISA总线接口与CS连接。所述ISA总线接口和ISA总线用于MPU和安全监控设备之间数据 的交换。更进一步的,本实施例中的安全监控设备还包括状态显示驱动模块,用于将两个 SR中由相同模块输出的检测结果做与运算,并将运算结果分别驱动输出给相应的LED指示 灯。例如,将两个SR中的VSM输出的检测结果做与运算,当两个SR中的检测结果相同时, 与运算后的结果驱动输出给一个LED指示灯,该指示灯亮起,说明VSM的检测结果安全和可 靠;当两个SR中的检测结果不想同时,与运算后的结果将不能驱动LED指示灯亮起,说明 VSM的检测结果不安全、不可靠。[0053]需要说明的是,所述的安全监控设备既可以在列控中心系统平台的外部而独立存在,也可以集成在列控中心系统平台内部,作为系统平台中的一个安全监控单元(VSU, Vital Supervision Unit)。另外,在双机热备结构的列控中心系统平台中包括A系统和B 系统两个子系统,本实施例中的安全监控设备仅为检测一个子系统工作状态的监控设备, 另一个子系统的安全监控设备与本实施例中的安全监控设备相同。还需要说明的是,本实用新型实施例并不限定采用二取二的冗余结构,当采用更 高层次的冗余结构时,其中的VSM、SSM、SR和CR的数目也随着所采用的冗余结构相应地增 加。由上述实施例可以看出,本实用新型中的安全监控设备可以实现对列控中心系统 平台中的MPU、CIU、DI0和PSU的各种状态进行检测,保障列控中心不会产生错误的控车信 息,提高了列控中心系统平台的安全性和可靠性。同时,由于本实用新型中的安全监控设备 本身采用取二的冗余结构,使得安全监控设备也同样具有安全性和可靠性,当用高安全性 和可靠性的安全监控设备对列控总线系统平台进行检测时,更进一步保障了列控中心系统 平台的安全性和可靠性,产生了双层安全性保护和可靠性保护的效果。另一方面,本实用新 型的安全监控设备全部由硬件实现,也提高了检测的稳定性。以上所述仅是实用新型的优选实施方式,应当指出,对于本技术领域的普通技术 人员来说,在不脱离本实用新型描述的原理前提下,还可以做出若干改进和润饰,这些改进 和润饰也应视为本实用新型的保护范围。
权利要求一种安全监控设备,其特征在于,包括至少两个电源电压检测模块VSM、一个完整性检查模块ISM、至少两个安全检验模块SSM、一个动态安全与门驱动模块、一个通道切换模块CSM、一个同步时钟信号发生器SCM和至少两个状态寄存器SR,其中,所述至少两个电源电压检测模块VSM,用于分别检测电源单元PSU输出的电压是否超过预置的范围,并将检测结果写入各自对应的一个状态寄存器SR中;所述完整性检查模块ISM,用于检测主处理器MPU、通信接口单元CIU和离散输入/输出DIO是否在线,并将检测结果分别写入所述至少两个状态寄存器SR中;所述至少两个安全检验模块SSM,用于分别检测主处理器MPU和通信接口单元CIU输出的动态安全状态信号以及所述同步时钟信号发生器SCM输出的同步时钟信号是否正确,将检测结果写入各自对应的一个状态寄存器SR中,并根据从所述状态寄存器SR读取的检测结果决定是否输出动态安全与门驱动模块的驱动时钟和通道切换模块CSM的通道维持信号;所述动态安全与门驱动模块,用于当从所述至少两个安全检验模块SSM接收的驱动时钟相同时,输出驱动主控继电器的电源,否则,不输出驱动主控继电器的电源;所述通道切换模块CSM,用于当从所述至少两个安全检验模块SSM接收的通道维持信号相同时,输出维持通信接口单元CIU中的CAN总线连通的信号,否则,输出切换通信接口单元CIU中的CAN总线连通的信号。
2.根据权利要求1所述的安全监控设备,其特征在于,所述完整性检查模块ISM包括 电阻、直流电源和电压采集单元,其中,所述电阻与所述主处理器MPU、通信接口单元CIU和离散输入/输出DIO串联,构成串 联电路,所述直流电源为所述串联电路提供电源,所述电压采集单元采集所述电阻两端的 电压,当电压为零时,输出的检测结果为不在线,否则,输出的检测结果为在线。
3.根据权利要求1所述的安全监控设备,其特征在于,所述安全检验模块SSM包括动 态安全状态信号检测单元、同步时钟信号检测单元和第一决策单元,其中,所述动态安全状态信号检测单元检测主处理器MPU和通信接口单元CIU输出的动态安 全状态信号的周期是否正确,并输出检测结果;所述同步时钟信号检测单元检测所述同步 时钟信号发生器SCM输出的同步时钟信号的周期和相位差是否正确,并输出检测结果;所 述第一决策单元从所述状态寄存器SR中读取电源电压检测模块VSM的检测结果、完整性检 查模块ISM的检测结果、动态安全状态信号检测单元的检测结果和同步时钟信号检测单元 的检测结果,当上述检测结果全都正常时,输出所述动态安全与门驱动模块的驱动时钟和 通道切换模块CSM的通道维持信号,否则,不输出所述动态安全与门驱动模块的驱动时钟 和通道切换模块CSM的通道维持信号。
4.根据权利要求1所述的安全监控设备,其特征在于,所述安全监控设备还包括至少 两个命令寄存器CR,所述SSM还包括第二决策单元,所述第二决策单元根据从所述命令寄 存器CR中读取的主处理器MPU控制命令决定是否输出动态安全与门驱动模块的驱动时钟 维持信号和通道切换模块CSM的通道维持信号。
5.根据权利要求1所述的安全监控设备,其特征在于,所述安全检验模块SSM还包括动 态安全与门检测单元,用于接收所述动态安全与门驱动模块反馈的状态回检信号,并将所 述状态回检信号写入所述安全检验模块SSM各自对应的一个状态寄存器SR中。
6.根据权利要求1所述的安全监控设备,其特征在于,所述安全监控设备还包括至少两个ISA总线接口,所述ISA总线接口的一端与所述状态寄存器SR连接,另一端 与ISA总线连接。
7.根据权利要求4所述的安全监控设备,其特征在于,所述安全监控设备还包括至少两个ISA总线接口,所述ISA总线接口的一端与所述状态寄存器SR和所述命令寄 存器CR连接,另一端与ISA总线连接。
8.根据权利要求1-7任意一项所述的安全监控设备,其特征在于,所述安全监控设备 还包括状态显示驱动模块,用于将所述至少两个状态寄存器SR中由相同模块输出的检测结 果做与运算,并将运算结果分别驱动输出给相应的LED指示灯。
专利摘要本实用新型提供了一种安全监控设备。包括至少两个电源电压检测模块VSM、一个完整性检查模块ISM、至少两个安全检验模块SSM、一个动态安全与门驱动模块动态安全与门驱动模块、一个通道切换模块CSM、一个同步时钟信号发生器SCM和至少两个状态寄存器。VSM用于检测电源单元的工作状态,ISM用于检测MPU、CIU和DIO是否完整在线,CSM用于当从至少两个SSM接收的通道维持信号相同时,输出维持CIU中的CAN总线连通的信号,否则输出切换CIU中的CAN总线连通的信号。动态安全与门驱动模块用于当从两个SSM接收的驱动时钟信号相同时,输出驱动主控继电器的电源,否则不输出。根据本实用新型实施例,可以提高列控中心系统平台的安全性和可靠性。
文档编号B61L27/00GK201553168SQ20092024685
公开日2010年8月18日 申请日期2009年11月11日 优先权日2009年11月11日
发明者余学虎, 侯石岩, 叶峰, 孙可, 孙永来, 张文彬, 徐松, 杨光伦, 漆联邦, 王一民, 谭晓光 申请人:北京全路通信信号研究设计院;北京新松佳和电子系统股份有限公司